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Verfahron zum Uberwachen der Funktion und Erhohen der Be- 
triebssicherheit eines sicherheitsrelevanten Regelungs systems 

Die Erfindung bezieht sich auf ein Verfahren zum Oberwachen 
der Funktion und zum Erhohen der Betriebssicherheit eines 
komplexen sicherheitsrelevanten Regelungssystems sowie zum 
Erkennen und Auswerten von Systemf ehlern. ^ 

Sicherheitsrelevante Systeme, zu denen Kraf tf ahrzeugrege- 
lungssysteme, wie ABS, ASR, ESP, „Brake-By-Wire"-Systeme 
( EHB , EMB ) r „Steering-By-Wire"-Systeme etc. zahlen, erfordern 
Mafinahmen zur Sicherung einer definierten Funktionsweise auch 
im Falle erkannter Systemf ehler. Es ist oft nicht moglich, 
einen erkannten Fehler im Normalbetrieb direkt einer System- 
komponente zuzuordnen. Solche Fehler, auch Gruppenf ehler ge- 
nannt, tragen meistens nur die Aussage, dass eine bestimmte 
physikalische GroiSe im System nicht eingehalten werden konn- 
te. Erst die Durchfuhrung spezieller Tests (auch Fehlerloka- 
lisierungen genannt) erm5glicht es, die fehlerhafte System- 
komponente auszumachen (Umwandlung des Gruppenf ehlers in ei- 
nen Einzelf ehler) und die passende Fehlerauswirkung (System- 
degradation) herbeizufuhren. 

Bevor die Fehlerlokalisierung erfolgreich abgeschlossen wird 
(unter Umstanden tritt dieses Ereignis verspatet oder nie ein 
aufgrund z.B. Unter spannung oder fru'herer Fehler , die die 
Nutzung der fur die Testdurchf iihrung notwendiger Systemkompo- 
nenten ausschliefien) befindet sich das System im undefinier- 
ten Zustand: man hat Kenntnis vom Fehler zustand genommen, ist 
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aber nicht in der Lage, die passende Systemauswirkung herbei- 
zufiihren. 

Der Erfindung liegt daher die Aufgabe zugrunde, beim Auft re- 
ten von Systemfehlern in Reg^lungssystem der hier in Rede 
stehenden Art in jeder Phase, auch bereits vor der Identifi- 
zierung des Einzelf ehlers, das System in einem definierten 
Zustand zu halten und die Auswirkungen des Fehlers zu mini- 
mieren. 

Die Losung dieses Problems wird heute gesucht in diversen 
Fehleranalyseverfahren, die als Ergebnis der Erstf ehlerbe- 
trachtung eine Entscheidungsmatrix „Fehler->Systemauswirkung M 
liefern. Gruppenf ehler geh6ren hierbei zu besonders schweren 
AnalysefSllen, da sie auf Fehler vieler Systemkomponenten 
gleichzeitig zuruck fuhren konnen. Somit liegt die Findung 
einer zuf riedenstellenden pauschalen Systemdegradationsstuf e 
fur einen Gruppenf ehler oft nicht im menschlichen Ermessen. 
Der andere Nachteil dieses Ansatzes besteht darin, dass der 
Obergang von der pauschalen zu der feinen Einzelfehlerauswir- 
kung nur nach dem erf olgreichen Abschluss der Fehlerlokali- 
sierung moglich ist. Verzogert sich die Lokalisierung auf- 
grund von temporaren Ereignissen oder wird sie aufgrund fru- 
her aufgetretener Fehler gar verhindert, so kommt die pau- 
schale und meist schwerwiegende Systemdegradation zum Dauer- 
einsatz. Dies wirkt sich wiederum negativ aus auf die System- 
verf tigbarkeit und -sicherheit. 

Das erf indungsgemaBe Verfahren beruht auf folgenden Oberle- 
gungen : 

Die Ergebnisse der Erstf ehleranalyse (beschrankt auf „echte" 
Komponentenfehler - unter Ausschluss der Gruppenf ehler) eines 
sicherheitsrelevanten Systems verbergen heute ungenutzte In- 
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formationen, die sich im Gruppenf ehlerf all nutzen lassen, urn 
die Systemverfiigbarkeit und -sicherheit zu erhohen. 

Im Folgenden wird ein auf den Ergebnissen der Erstf ehlerana- 
lyse (beschrankt auf „echte" .Komponentenf ehler) basiertes 
Verfahren fttr den Einsatz in technischen Anwendungen be- 
schrieben, das die Moglichkeit bietet, die Systemdegradation 
eines beliebigen sicherheitskritischen Systems wahrend der 
aufgrund auf getretener Gruppenf ehler laufenden Lokalisierun- 
gen dynamisch zu minimieren. Dieses in jeder Techniksparte 
anwendbare Verfahren erhoht erheblich die Systemverf ttgbarkeit 
und gewahrleistet letztendlich die Systemsicherheit, im Ge- 
gensatz zu den heute gangigen Verfahren, die sich auf die 
schwer definierbare pauschale Auswirkung der Gruppenf ehler 
stiitzen. 

Beschreibung: 

Die Erstfehleranalyse (beschrankt auf „echte w Komponentenf eh- 
ler) herkGmmlicher Fehleranalysemethoden definiert die Sys- 
tem- bzw. Komponentenauswirkung fUr jeden Einzelf ehler . 

Es wird hiermit vorgeschlagen, die System- bzw. Komponenten- 
auswirkung eines Gruppenf ehlers als Superposition der Auswir- 
kungen aller Einzelfehler zu definieren, die als Ergebnis der 
korrelierten Fehlerlokalisierungen in Frage kommen. 

Es wird des weiteren vorgeschlagen, die Auswirkung der Ein- 
zelfehler, die im Laufe der Fehlerlokalisierung als Fehler- 
quelle ausgeschlossen wurden, aus der System- bzw. Komponen- 
tenauswirkung des Gruppenf ehlers ebenfalls auszuschlieBen. Es 
wird damit erreicht, dass im Laufe der Fehlerlokalisierung 
die Systemdegradation aufgrund eines Gruppenf ehlers dauernd 
und flieBend minimiert wird, bis die Ebene des erkannten Ein- 
zelf ehlers erreicht wird. Wird die Lokalisierung aufgrund 
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temporarer Ereignisse verzogert oder aufgrund frtiherer Fehler 
gar abgebrochen beschrankt sich die Systemdegradation auf die 
Auswirkungen der (noch) nicht ausgeschlossenen Einzelf ehlern. 



Beispiel 1 (siehe Figur 1) : Der aufgetretene Gruppenf ehler 
GF 16st drei parallel laufende Lokalisierungen Lll, L21 und 
L31 aus. Jede dieser Lokalisierungen kann im nachsten Schritt 
zu jeweils 2 Einzelf ehlern fuhren. Die Systemdegradation wird 
vorm Abschluss des ersten Lokalisierungsschritts als Superpo- 
sition der Auswirkungen der Einzelf ehler Fl - F6 berechnet. 

Beispiel 2 (siehe Figur 2) . Der erste Lokalisierungsschritt 
ist abgeschlossen: Lokalisierungen Lll und L31 haben keine 
Auf falligkeiten gemeldet; Einzelf ehler Fl, F2, F5 und F6 sind 
ausgeschlossen. Lokalisierung L21 hat hingegen ein positives 
Ergebnis gebracht. Im zweiten Schritt wird die Lokalisierung 
fortgesetzt zwecks Ergebnisverfeinerung. Die Systemdegradati- 
on wird vorm Abschluss des zweiten Lokalisierungsschritts als 
Superposition der Auswirkungen der Einzelfehler F3 und F4 be- 
rechnet. Die Systemverfiigbarkeit hat sich erhoht. 

Beispiel 3 (siehe Figur 3) . Der zweite Lokalisierungsschritt 
ist abgeschlossen: Einzelfehler F4 ist ausgeschlossen, die 
Ursache fur den Gruppenf ehler GF ist der Einzelfehler F3. Die 
Systemdegradation ergibt sich direkt aus der Auswirkung des 
Einzelf ehlers F3- 

Das vorgeschlagene Verfahren bringt, im Vergleich zum bishe- 
rigen Verfahren unter anderem folgende Vorteile: 

Die Auswirkung eines Gruppenf ehlers ergibt sich automatisch 
aus der Summe der leicht def inierbaren Auswirkungen fur kor- 
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relierte Einzelfehler - Fehleranalyse fur Gruppenf ehler ent- 
fallt 

Die Auswirkung eines Gruppenf ehlers wird abgeschwacht mit de 
Fortgang der Lokalisierungen - das System erfahrt dynamisch 
eine erhebliche Steigerung dqr Verfugbarkeit und Sicherheit. 

Der Fall, dass ein Gruppenf ehler nicht zu Ende lokalisiert 
werden konnte, bedarf keiner gesonderten Behandlung 
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Patentanspruch : 

Verfahren zum Oberwachen der Funktion und Erhohen der Be- 
triebssicherheit eines sicherheitsrelevanten Regelungssys- 
tems, z.B. eines Kraftfahrzeugregelungssystems, wie eines 
ABS, ASR, ESP, eines „Brake-By-Wire"-Systems (EHB, EMB) , eines 
„Steering-By-Wire" -Systems etc., sowie zum Erkennen und Aus- 
werten von Systemfehlern, 
gekenn zei chnet durch die Schritte: 

- Erkennen eines Systemfehlers und Bewertung als Gruppenfeh- 
ler, 

- Herbeifuhren einer vollstandigen oder dem Gruppenfehler 
entsprechenden teilweisen Systemdegradation oder Einschran- 
kung der Systemf unktion bzw. Systemverftigbarkeit, 

- Eingrenzung des Systemfehlers bzw. der Fehlerquelle durch 
Tests, logische Verkniipfung der Testsergebnisse, Plausibi- 
litatsbetrachtungen etc. 

- schrittweise Erhohung der Systemverftigbarkeit in Abhangig- 
keit von dem Ergebnis der einzelnen Schritte zur Eingren- 
zung bzw. Lokalisierung des Systemfehlers oder der Fehler- 
quelle . 
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Figur 1 
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Figur 2 
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Figur 3 



